本周重点关注病毒：

“碎骨魔”（Win32.VirInstaller.Agent.80896）  威胁级别：★★

它在进入用户系统后，%WINDOWS%\system32\下释放出三个随机命名的.cpx格式文件，随后便修改注册表，将释放出的文件添加到启动项中，使自己实现开机自启动。同时，它破坏注册表中关于系统安全模式的数据，让用户即便发现系统异常也无法进入安全模式执行手动杀毒。
        当病毒顺利运行起来，它就篡改被感染计算机上的系统时间，致使一来系统时间进行激活和升级的安全软件失效。并且，它在被感染的计算机上搜索全部与安全相关的软件，一旦发现便强行将其关闭。由于其黑名单中包含了大部分常见的安全相关软件，用户电脑的安全性将大大降低。
       在运行的后期，病毒的破坏行为变得让人气氛，它会搜索并破坏除系统盘目录以外的全部exe文件，且破坏后很难修复，给受害用户带来无法估计的损失。

******模块4608”（Win32.Troj.AgentT.ff.4608）  威胁级别：★★

这个模块是一个驱动文件。当它随着整个***进入用户电脑后，就会被释放出来。它把自己的一个函数注册为系统运行时需要调用的函数，还原系统SSDT表，如果这个动作成功，就可以解除一些具有所谓主动防御功能的杀毒软件的武装。
         接着，它继续修改系统中的数据，将磁盘驱动、桌面驱动等驱动文件，以及系统调度服务的部分函数破坏，令用户无法正常操作系统。
如果在用户电脑中发现加密狗等加密软件，此***模块也会修改它们的部分数据，将它们的函数指向自己，从而使加密软件失效。
       当病毒作者将这一***模块配置到任何一个别的***上时，那些***也就具备了对抗安全软件的能力。

“江湖医生45056”（Win32.TrojDownloader.Zlob.45056）  威胁级别：★★

病毒进入用户电脑后，在原始文件的当前目录下释放出自己的文件sbmdl.dll和sbsm.exe，接着就修改注册表，把文件添加到启动项中，达到开机自动运行之目的。习惯手
动查杀的用户需注意，病毒在注册表中的文件名和其真实的名称并不相同，但路径是一致的。
        当运行起来，病毒就把自己携带的一个IE插件擅自添加到用户的IE浏览器上，并篡改IE浏览器的默认页面为[url]http://www.g[/url]**ei**ool.com/这个由病毒作者指定的地址。
       经动物家园反病毒斗士检查，这个页面是个涉及诈骗的网站。只要用户被引导登录该网站，就会被跳转到另一个页面。跳转后的页面会对用户系统进行所谓的“在线查毒”。
检查的结果千篇一律，都是说用户系统非常危险，必须购买专门的安全服务。

“武装下载器139264”（Win32.Troj.Agent.gh.139264）  威胁级别：★★

病毒进入用户电脑后，首先在系统盘的%WINDOWS%\system32\目录下释放出三个病毒文件，分别为liiuo.exe、uqppo.exe、uqppo.inf。然后，它修改注册表，禁止显示系统隐藏文件，并将uqppo.exe和liiuo.exe添加到启动项中，使自己实现开机自启动。
        同时，为提高传播速度，病毒在所有的磁盘分区下生成AUTO文件liiuo.exe和autorun.inf，只要用户在中毒电脑上使用U盘等移动存储设备，病毒就可以立即将其感染。
       接着，病毒遍历磁盘，映像劫持大量杀毒软件和安全辅助软件，以及一些常被高级用户使用到的修复工具，比如卡巴斯基、毒霸等杀毒软件，以及360安全卫士、毒霸AV终结者专杀等安全辅助软件都在它的劫持名单中。同时，对另一些不适合做劫持的安全软件，它会采取直接关闭进程、删除其文件的办法。
       如果确定完成了以上步骤，病毒就在后台悄悄连接病毒作者指定的网址[url]http://qq.xt[/url]***uan.cn/cs/，下载一份名为inin.txt的病毒列表，根据其中的下载地址，下载20多个病毒文件。

“WORD涂改液693269”（Win32.Troj.Sola.693269）  威胁级别：★

此毒进入电脑后，会释放出大量的病毒文件，大部分集中在%WINDOWS%\Fonts\HIDESELF..\目录中。其中对病毒运行起到主要作用的是%WINDOWS%\Fonts\HIDESELF..\目录下的Function.dll，以及%WINDOWS%\Fonts\HIDESELF..\solasetup\目录下的SOLA.BAT。
        病毒修改系统注册中的多项数据，使自己实现开机自启动。一旦顺利运行起来，就会搜索电脑中全部的WORD文档，把它们的后缀改为了exe。另外，为实现快速传播，该毒会在所有的磁盘分区下生成文件Autorun.inf和文件夹SOLA，而SOLA文件夹下有一个Function.dll文件和一个SOLA.bat批处理文件，这些文件的属性都是系统隐藏文件。

动物家园计算机安全咨询中心反病毒工程师建议：

1、从其他网站下载的软件或者文件，打开前一定要注意检查下是否带有病毒。
  
   2、别轻易打开陌生人邮件及邮件附件、连接等。

3、用户应该及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑。

4、尽量把系统帐号密码设置强壮点，勿用空密码或者过于简单。

5、发现异常情况，请立即更新你的反病毒软件进行全盘查杀或者登陆bbs.kingzoo.com(安全咨询中心)咨询